PT-2026-54639 · Npm · @Fastify/Middie

Jvr2022

+2

·

Publicado

2026-07-01

·

Atualizado

2026-07-02

·

CVE-2026-14198

CVSS v3.1

9.1

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas @fastify/middie versões 9.1.0 a 9.3.2
Description Ocorre uma falha de bypass de autorização porque o software decodifica a barra codificada %2F dentro de valores de parâmetros de caminho antes de corresponder aos caminhos do middleware, enquanto o roteador subjacente preserva essa codificação durante a busca da rota. Essa discrepância permite que uma requisição ignore o middleware utilizado para autenticação, autorização, limitação de taxa ou auditoria em caminhos parametrizados, permitindo que um invasor alcance um manipulador protegido usando uma URL manipulada com uma barra codificada na posição do parâmetro. Este problema é agnóstico ao método HTTP e não requer autenticação ou pré-condições especiais.
Recommendations Atualize para a versão 9.3.3 do @fastify/middie. Evite o uso de caminhos de middleware parametrizados para decisões de segurança. Aplique a autenticação no manipulador de rota ou por meio de um hook do Fastify que seja executado após o roteador ter resolvido a requisição.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-14198
GHSA-2V46-JXJM-7Q3V

Produtos afetados

@Fastify/Middie